Comtarsia
SignOn
Agent for Linux 2003
Handbuch
05. Dezember 2003
Version 2003 – Build 1.1.5.11
Inhaltsverzeichnis
1.3 Installation des
SyncAgent
1.4 Starten und Stoppen des SyncAgent
1.5 Deinstallation des
SyncAgent
1.6 Konfiguration – Parameterbeschreibung
Der SyncAgent
fuer Linux ist ein Produkt aus der Servolution Sync Packet Familie.
Der
SyncAgent besteht aus zwei Modulen: dem System-Modul und dem Samba-Modul.
Dieses Modul ist fuer die Linux
System-Benuterkonten zuständig.
Die Funktionen im Detail:
Dieses Modul ist für die Samba-Benutzerkonten zuständig.
Die Funktionen im Detail:
o
Erzeugen
von neuen Benutzer-Einträgen im Samba
o
Synchronisation
des Benutzer-Paßwortes
Der
SyncAgent fuer Linux bietet umfangreiche Konfigurationsmöglichkeiten, wodurch
sich die einzelnen Arbeitsschritte des Agents genau auf die jeweiligen
Anforderungen abstimmen lassen.
Die
Synchronisation der Linux System-Benutzerkonten kann fuer Terminal-Benutzer
verwendet werden, die direkt auf dem jeweiligem System arbeiten (z.B. über
Telnet oder SSH) und auch für Benutzer, die mit speziellen Applikationen auf
dem Linux-System arbeiten, welche System-Benutzerkonten verwenden (z.B.
POP/IMAP-Server, Webserver).
Der
Servolution SyacAgent ist neben der Linux-Version auch noch für viele weitere
Plattformen sowie Applikationen erhältlich. Weitere Informationen hierzu finden
Sie auf der Servolution-Webseite unter http://servolution.comtarsia.com/
Die Systemanforderung für die Installation des Sync
Agent Daemons:
·
SUSE Linux Version 8.1 /
SCO Linux Server Release 4.0
·
RedHat Linux 8.0 (In Kuerze
erhaeltlich)
Bitte beachten Sie, daß sich die verschiedenen
Linux-Distributionen in den mitgelieferten Programm-Bibliotheken zum Teill
stark unterscheiden und es deshalb erforderlich ist, die jeweilige SyncAgent für
Linux Version zu verwenden, die genau für Ihre Distribution zusammengestellt
wurde.
Anforderungen für den Betrieb des SyncAgent für
Linux:
·
Protokoll TCP/IP mit einer statischen IP-Konfiguration.
Extrahieren Sie die Datei sa_linux_X.X.X.tar.gz in einem eigenen
Verzeichnis mit dem Befehl:
„tar zxvf sa_linux_1.0.1.tar.gz“. Wechseln Sie daraufhin in das
Verzeichnis sa_linux und führen Sie das Installationsprogramm mit dem Befehl
„./sainstall“ aus. Zur Installation des SyncAgent werden „root“-Berechtigungen benötigt.
Während des Installationsvorganges wird das Programmverzeichnis des
SyncAgents sowie die IP-Adresse des SyncProxy-Servers abgefragt.
Der SyncAgent wird so installiert, daß er sich bei einem Neustart des
Linux-Systems automatisch startet. Dieses Verhalten könne Sie bei Bedarf durch Veränderung
der Runlevel-Links an Ihre Erfordernisse anpassen.
Der Starten
sowie Stoppen des SyncAgent erfolgt über
das Skript „/etc/syncagent/syncagentctl“.
Zum Starten
führen Sie den folgenden Befehl als „root“ aus:
„/etc/syncagent/syncagentctl
start“
Das Stoppen
erfolgt analog zum Starten:
„/etc/syncagent/syncagentctl
stop“
Wenn Sie
Konfigurationsänderungen durchführen, während der SyncAgent aktiv ist, müssen
Sie den Agent beenden und neu starten, um die Konfigurationsänderungen zu
aktivieren:
„/etc/syncagent/syncagentctl
restart“
Die Deinstallation des SyncAgent für Linux muß
manuell erfolgen.
Löschen Sie die folgenden Dateien/Verzeichnisse:
/etc/syncagent
Das Syncagent bin-Verzeichnis z.B.:
/usr/local/syncagent
Die Soft-Links in den Runlevel-Verzeichnisse
(/etc/init.d/, /etc/init.d/rc3.d, /etc/init.d/rc5.d)
Die SyncAgent fuer Linux
Konfigurationsdatei befindet sich unter /etc/syncagent/syncagent.conf.
Nachfolgend findet sich die
Standard-Konfigurationsdatei mit deutscher Parameterbeschreibung:
#####################################################
# syncagent.conf
# /etc/syncagent/syncagent.conf is the configuration file for the
# Servolution syncagent daemon
# Copyright (c) 2003 Comtarsia It Services GmbH
#
####################################################
# Konfigurationseinstellungen
für das CORE-Modul
#
[SA_CORE]
# Definiert,
ob die Verbindung mit dem SyncProxy verschlüsselt wird. Dieser Wert
# muß immer auf “1” gesetzt sein.
# Default:
1
cryptMessage=1
# Das
Installationsverzeichnis für den SyncAgent-Daemon
# Default: /usr/sbin/syncagent
workingDirectory=/usr/sbin/syncagent
# Die
verwendete Portadresse des SyncAgents. Wenn dieser Parameter geändert
# wird muß sichergestellt sein, dass die gewählte Port-Adresse von keinem anderen
# Dienst verwendet wird. Dieser Wert muß mit der Einstellung am SyncProxy
# korrelieren.
# Default:
2000
listenerPort=2000
# Definiert
die Portadresse für das Überwachungsinterface des SyncAgents. Wenn
# dieser Parameter geändert wird muß sichergestellt sein, dass die gewählte
Port-
# Adresse von keinem anderen Dienst verwendet wird.
# In der
aktuellen Version wird dies noch nicht unterstützt.
# Default:
3000
maintenancePort=3000
# Dieser
Wert legt das Empfangs-Timeout fuer die Proxy-Kommunikation fest.
# Wird
dieser Wert überschritten, schließt der Sync Agent die TCP/IP-Verbindung
# und es erscheint die Meldung „receive error“ im Logfile.
# Default:
4
rcvTimeout=4
# Konfigurationseinstellungen
fuer das LOG-Modul
#
[SA_LOG]
# Dieser
Parameter definiert, ob Logmeldungen geschrieben warden, auch wenn
# keine Überwachungsverbindung aktiv ist. Dieser Wert muß auf „1“ gesetzt sein,
# wenn ein Logfile geschrieben werden soll.
# Unter
welchen Bedingungen wird ein Logfile geschrieben:
# 1)
logToFile=1 und es ist eine Überwachungsverbindung aktiv und der
# Überwachungsbefehl “log start” wurde ausgeführt
# 2) logAlways=1 und logToFile=1
# Default: 1
logAlways=1
# Dieser
Parameter legt den Namen des Logfiles fest. Die Angabe muß inklusive
# dem vollen Pfad erfolgen.
# Default:
/var/log/ComtSyncAgent.log
logFileName
= /var/log/ComtSyncAgent.log
# Hier wird
der gewünschte LogLevel gewählt. Dieser Parameter sollte zumindest
# auf „1“ gesetzt sein, um eventuelle Fehlermeldungen zu erhalten. Für eine
# detailliertere Analyse kann der Wert auf „3“ gesetzt werden. Achtung: Beim
einem
# LogLevel > 1 kann das Logfile schnell sehr groß werden.
# 0 kein
Logging
# 1 nur
Fehlermeldungen
# 2 Fehlermeldungen
und Warnungen
# 3 detailierte
Ausgaben
# Default:
1
logLevel=1
# Gibt an,
ob die Logausgaben ins Logfile geschrieben werden
# Nähere
Informationen finden sich unter logAlways
# Default:
1
logToFile=1
# Die
maximale Logfile- Größe in Bytes. Wenn die hier spezifizierte Größe erreicht
# ist, wird die Datei kopiert (Benennung des Logfiles:
#
<logFileName>_JAHR_MONAT_TAG_STUNDE_MINUTE_SEKUNDE). Wenn weniger
# als 50 MegaByte Speicher auf dem Dateisystem verfügbar sind, wird das älteste
# Logfile gelöscht.
# Default:
102400
maxLogFileSize=1024000
# Konfigurationseinstellungen
für das SYSTEM-Modul
#
[SA_SYSTEM]
# Diese
Option aktiviert die Systemuser-Synchronisation.
# Wenn
diese Aktion fehlschlägt, werden alle weiteren Sync-Module nicht mehr
# ausgeführt. Dieses Modul ist verantwortlich für die System-Authentifizierung,
# das anlegen eines Benutzers sowie der Paßwort und Gruppen Synchronisation.
# Dieses
Modul muß immer aktiviert sein.
# Default:
1
syncEnabled=1
# Mit
diesem Bitmaske können die einzelnen Synchronisations-Aktionen aktiviert
# sowie deaktiviert werden. Wenn eine Aktion fehlschlägt, werden alle anderen
# Aktionen nicht mehr ausgeführt.
# 0x1 Passwortüberprüfung
(muß immer gesetzt sein)
# 0x2 Anlegen
des Benutzers (muß immer gesetzt sein)
# 0x4 Aktualisieren
der Benutzer-Gruppen
# Default =
7 (alle Bits gesetzt)
syncPolicy=7
# Ist diese
Option aktiviert, wird für neue Benutzer automatisch ein
# Benutzerverzeichnis angelegt.
# Default:
1
createHomeDir=1
# Ist diese
Option aktiviert, wird das Benutzerverzeichnis eines neuen Benutzers mit
# der unter „homeDirPermissionMask“ eingestellten Maske erzeugt.
# Default:
1
changeHomeDirPermission=1
# Die
Berechtigungs-Maske für das Benutzerverzeichnis
# Default:
0700
homeDirPermissionMask=0700
# Gruppen-Abbildung
(1 = Gruppen-Abbildung ist aktiviert).
# Wenn die
Gruppen-Abbildung nicht aktiviert ist warden die Gruppen des Clients
# verwendet um die entsprechende UNIX Gruppen-Mitgliedschaft des Benutzers zu
# setzten.
# Wenn die
Gruppen-Abbildung aktiviert ist, werden die unter SA_GROUPMAPPING
# definierten Regeln fuer die Gruppen-Zuordnung benutzt.
# Default:
0 (Gruppen-Abblidung ist deaktiviert)
disableEqualGroupMapping=0
# Ausnahmen
für die Gruppenliste
# Die
folgenden Gruppen werden dem Benutzer auf keinen Fall unter UNIX
# zugeordnet. Mehrere Gruppen können mit einem Beistrich separiert angegeben
# werden.
# Example:
root, audio
exceptGroups=root
# Die
kleinste gültige Gruppen-ID für einen Benutzer.
# Sollten
vom Logon Client Gruppen mitgeschickt werden, die eine kleiner GID als
# die hier spezifizierte haben, werden diese dem UNIX-Benutzer nicht
zugeordnet.
# Default:
30
minGid=30
# Konfigurationseinstellungen
für das Samba-Modul
#
[SA_SAMBA]
#
Aktivieren der Samba-Synchronisation
# Das
Samba–Modul ist für die Authentifizierung, das Anlegen neuer Benutzer sowie
# für die Passwort-Synchronisation zuständig.
# Das
Samba-Modul wird nur ausgeführt, wenn das System-Modul fehlerfrei
# abgearbeitet wurde.
# Default:
1
syncEnabled=1
# Liste gültiger
SyncProxy Server
# Eine Liste
mit IP-Adressen von SyncProxy-Servern, von welchen
# Synchronisierungs-Anforderungen akzeptiert werden sollen. Anforderungen von
# anderen IP-Adressen werden abgewiesen und es wird ein Eintrag im Logfile
# erstellt.
# Es werden
maximal 10 IP-Adressen unterstützt.
[SA_ACCEPTLIST]
PROXY1=192.168.2.209
#PROXY2=192.168.2.206
# Gruppen-Abbildungsliste
# Diese
Liste beschreibt Übersetzungen für die Gruppen-Einträge.
# Auf der
linken Seite befinden sich die Gruppen, die vom Logon Client an den Sync #
Agent geschickt werden. Rechts befinden sich die UNIX Gruppen, dessen Mitglied
# der Benutzer werden soll, wenn er sich in der primären Benutzerverwaltung in
# der linken Gruppe befindet.
# Für eine
Quell-Gruppe können durch Komma separiert mehrere Ziel-Gruppen
# angegeben werden. Quell-Gruppen des Windows-Benutzers, die hier in der Liste
# nicht aufscheinen, werden verworfen.
# Syntax: "USERLIST GROUP" =
"SUPPLEMENTARY GROUP1" [ , "SUPPLEMENTARY
# GROUP2"...]
# Er werden
maximal 32 Einträge unterstützt.
# Beispiel: OS2GRP1=linuxgrp1, linuxgrp2
[SA_GROUPMAPPING]
Die Informationen, welche vom
SyncClient bzw. von der SyncProxy zu den Sync Agents übertragen werden, werden
RSA verschlüsselt.
In der Testversion des
SyncAgent für Linux wird ein interner 512 Bit RSA Key verwendet.
Eine lizensierte Version des
SyncAgent bietet die Möglichkeit selbst generierte RSA Keys mit einer Länge bis
zu 2048 Bit zu verwenden.
Achtung: Der interne RSA-Key
eignet sich nur für einen Testbetrieb und darf aus Sicherheitsgründen
KEINESFALLS in Produktion verwendet werden.